第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛–漏洞挖掘赛 官方WP

WriteUp 1年前 (2023) admin
332 0 0

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP


第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP
NO.1
漏洞场景一

首先看到这个ip

http://10.103.117.36/

我们扫描下这个ip发现存在sql server弱口令

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现禁用了,然后我们启用xp_cmdshell之后执行命令

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现降权了,然后我们先看下杀软和能不能出网

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现其实用defender,我们可以上一个免杀的cs

因为这款工具自带上传功能

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们直接上线cs.然后直接用badpotato执行我们的cs

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们先抓下hash和明文密码发现密码抓不出来,hash也解不开

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

Administrator:500:aad3b435b51404eeaad3b435b51404ee:0f2805ccea1bfacf806c716305335b18:::

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

一般拿到本机信息需要先收集下信息和flag,但是发现这台机器没有flag

我们先建个账号进去看看

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

只能先扫描c段有没有其他机器

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们可以先hash传递试试

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现可以传递成功。我们可以直接加个账号进去,或者上线cs,但是发现目标不出网

登录进去发现是一个域主机,我们还是先找flag

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

找到flag和提示

flag(CtVEF8DZvYVvYGsUqnnN4RaaBjKj5mUa)

我们先提权到system发现会话不存在

我们可以正常收集下域信息

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现域里和本机都有一个idss用户,我们先上线抓取下信息

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

而且flag有提示有4个问号而且都是大写,怀疑是idss的域用户密码,我们可以抓取当前机器的hash然后利用hashcat进行离线爆破

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

但是我们需要先写一个密码列表根据他的提示,可以利用ai来写

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后既然给了域的账号密码,域里利用的CVE-2021-42278 + CVE-2021-42287,我们可以直接尝试一下

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现可以直接利用成功。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

Flag

PU92fnbbPqwgYEWunAXJyxPyUmxPBwHy

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP
NO.2
漏洞场景二

开启场景发现是confluence,我们先用web发包看下

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们利用已知cve直接发送payload拿到webshell

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

先看下基本信息

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后涉及到linux提权还是先反弹过来。然后看下内核版本有点高,试了几个cve也不太行,但是发现存在vimsuid提权

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后发现了flag和提示信息

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

还是先探测下192.168.0.55这个ip地址

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现是mysql机器,Mysql只能udf或者Mof提权那我们上个socks5连试试udf提权。我们直接利用sqlmap的udf提权

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

还是老方法,加个账户进去,发现不存在flag,但是有一个redis客户端,可能是内网有redis客户端,顺便抓下本机密码,万一可以横向传递到其它机器。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现一台6379端口的机器

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现不行,感觉应该是有密码认证,然后我们先收集本机信息

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们可以试下本机密码和mysql密码,因为抓不出来明文,只能先抓hash然后cmd5解密,发现本机密码可以连接redis。剩下的就是写密钥也行反弹也行

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我还是喜欢linux下面连接redis

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

看到了flag和提示

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

只有向日葵之前爆出漏洞,看着像base64先解码看看

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

直接利用rce工具测试

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

直接执行命令

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

加个账户进去, 如果我们想更方便的连接最好能启动一个socks5出来。

直接连接进来之后,先收集信息

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现本机没有flag和提示信息,之后我们发现域里的idss和本地管理组都存在idss账户。

我们抓取本机hash,发现可以解密明文是Abcd1234@2022,我们利用这个明文也可以登录域用户idss账户。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们有了域账号密码可以尝试spnnopac,zerologon等域漏洞都不行

其它就剩下adcs,域证书漏洞,中继,owa等等

测试发现是存在域证书漏洞

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现idss用户在里面,而且还有模版。

接下来我们可以直接来获取子域的权限。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后按照他的提示来转换证书。先保存成cert.pem

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们请求这个证书

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们就可以直接dir执行了

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

可以利用psexec来获取cmd,可以加个域管账户或者把idss加到domain admins组里面

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

可以先找下有没有flag和提示等信息

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

登录到域管之后,一般从子域提升到根域一般就两种攻击方法,一种SID History 一种

域信任攻击父域

我们先实验SID History

先拿到krbtgthash

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

还需要子域和父域的sid

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们就可以利用了

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

先获取主域的hostname

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP
NO.3
漏洞场景三

打开web发现是weblogic,测试了几个cve都不行,发现存在uddiexplorer提示

这个界面一般就是weblogic+ssrf了,内网一般是有redis才行,提示了192.168.33.0/24

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

那我们就用burp批量测试这个段的6379端口

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

很明显发现了192.168.33.55存在6379端口,接下来很简单了,我们直接打redis

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现存在flag

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

而且在历史记录里发现一个地址和账号密码

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现是zabbix直接登录进来。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们可以弹公网也可以弹redis这台机器,我们加条命令直接反弹

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

依照管理我们先看看suid提权,发现存在timeout,然后读取flag

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

web发现监控了jumpserver

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

一般zabbixagent是可以读取文件的,安装过jumpserver 都知道默认存在安装配置文件在/opt/jumpserver/config/config.txt里面存在api配置参数

我们可以利用zabbix_get读取试试

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

BOOTSTRAP_TOKEN=MjcxMzE5ZjYtZTE4YS0xMWVk

发现可以正常读取

网上有利用文章,可以利用这个读取jumpserver的资产,我们先利用BOOTSTRAP_TOKEN读取assess_keysecret

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

把对应改好

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们执行就返回了执行结果url

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后就执行成功,然后我们接下来直接反弹

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们测试下反弹,先下载一个python脚本,然后执行

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现/etc/crontab存在计划任务

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们建个back.py 然后等2分钟

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

查看flag

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现这台机器是多网卡,直接fscan一把梭

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现68存在vcenter,250exsi

然后上个nps走下代理

我们直接利用常用的expvcenter,发现存在log4j漏洞

我们想反弹到jumpserver

发现是debian,但是没nc直接装一个

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

而且没有java,然后安装jdk11,我们要使用JNDIExploit

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

本地监听好端口,然后我们执行反弹

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们可以找下flag或者提示什么的。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

root目录没有发现flag.

然后可以登录界面看看,我们直接利用cookie伪造登录

我们在jumpserver监听8000,然后在center把data.mdb回传回来

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们把东西下载下来。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们直接读取exsi机器的账号和加密的密码

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后解密

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

vpxuser:N/xk0Rh7BB9zN/2k3=aD5EGqT9Ck[vL

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们也可以登录到ssh里面

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP
NO.4
漏洞场景四

访问是solr web,发现存在CVE-2019-0193漏洞,而且已经建立好,我们建立一个web站点,让solr下载反弹脚本,然后执行,vps监听好

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后执行脚本反弹回来

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

直接反弹回来。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

cat /root/flag

flag{13dd83bd-cd393fb1-aecafff5-ca2a3484-9d1ccddc}

1521 Zr6kJG2U3m3A7BG

我们看到bash_history 发现了oracle连接记录

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

1521oracle默认端口,Zr6kJG2U3m3A7BG看着像密码。

默认安装oracle是有SYS账号和SYSTEM账号

接下来我们先扫描看看内网有那些机器开放1521.

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们用账号sys/system/Zr6kJG2U3m3A7BG/orcl来连接oracle数据库

开启代理然后连接oracle。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

语句来源: https://book.shentoushi.top/Databases/Oracle.html

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

看了进程有火绒杀软

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

直接加账户肯定不行,然后我们利用cve-2018-3004漏洞写入certutil编码为base64的文件

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后解码,这个exe是一个加隐藏管理员账户的exe

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们就可以直接登录进来了

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现是域机器,而且在administrator桌面发现flag

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

而且发现3389已经授权了域内oracle账户。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们可以抓取下本机hash看看能不能解密。

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现可以解密

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

我们直接先用这个oracle账户密码登录域环境试试

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现可以正常登录oracle,有了账号密码我们还是可以测试nopac但是不成功。应该是打了补丁。NetLogon也没成功,可能是系统版本过高。

我们在测试下spn泄露等问题

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现存在Dbadmin用户的mssql服务。我们直接使用看看能不能获取krb5

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们用hashcat的跑一下,字典用的kalirockyou

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后发现这个账户还是Users权限,我们可以用BloodHound来跑一下

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

发现dbadmin存在dcsync权限,我们有了明文可以直接远程dump域里所有hash

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

然后我们就可以横向传递了。用cme直接传递

第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛--漏洞挖掘赛 官方WP

flag{8b3f7bdf-f1c0e3ca-7e853ff0-a26def5a-f6d7d68c}

原文始发于微信公众号(无相实验室):第八届上海市大学生网络安全大赛暨“磐石行动”2023(首届)大学生网络安全邀请赛–漏洞挖掘赛 官方WP

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...